翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスにリンクされたロールの制限
サービスにリンクされたロールは、直接リンクされた特殊なタイプの IAM ロールです AWS Lake Formation。このロールには、Lake Formation が AWS サービス間でユーザーに代わってアクションを実行できるようにする事前定義されたアクセス許可があります。
サービスにリンクされたロール (SLR) を使用してデータロケーションを Lake Formation に登録する場合、次の制限が適用されます。
-
一度作成したサービスにリンクされたロールポリシーは変更できません。
サービスにリンクされたロールは、アカウント間での暗号化されたカタログリソースの共有をサポートしていません。暗号化されたリソースには、特定の AWS KMS キーアクセス許可が必要です。サービスにリンクされたロールには、アカウント間で暗号化されたカタログリソースを操作する機能を含まない事前定義されたアクセス許可があります。
-
複数の Amazon S3 ロケーションを登録する場合、サービスにリンクされたロールを使用すると、IAM ポリシーの制限をすばやく超える可能性があります。これは、サービスにリンクされたロールでは、 によってポリシーが AWS 記述され、すべての登録を含む 1 つの大きなブロックとして増分されるためです。カスタマー管理ポリシーをより効率的に記述したり、複数のポリシーに権限を分散したり、異なるリージョンに異なるロールを使用したりできます。
-
Amazon EMR on EC2 は、サービスにリンクされたロールでデータロケーションを登録したデータにアクセスできません。
-
サービスにリンクされたロールオペレーションは、 AWS サービスコントロールポリシーをバイパスします。
-
データロケーションをサービスにリンクされたロールに登録すると、IAM ポリシーが結果整合性で更新されます。詳細については、「IAM ユーザーガイド」の「IAM ドキュメントのトラブルシューティング」を参照してください。
